一篇文章带你搞定CTF中http的常见应用

已于 2023-12-19 10:43:08 修改
阅读量695 收藏 10
点赞数 11
CC 4.0 BY-SA版权
分类专栏: PHP特性 文章标签: http 网络协议 web安全 URL编码
于 2023-12-16 23:29:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csjjjd/article/details/135039127
本文介绍了URL编码在网络安全竞赛中的应用,包括其原理、规则以及在实际挑战中如何利用URL编码进行数据传递和绕过安全机制。作者通过实例演示了如何对admin进行两次URL编码以满足特定条件获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

你真的会URL吗?

这里用一道题目举例:

这里是url编码在ctf的使用,很经典

原理:

URL编码是HTTP协议中使用的标准方法,它用于在创建HTTP请求时确保URL中的特殊字符得到妥善处理。HTTP协议是互联网上数据交换的基础,而URL编码确保了在这些交换过程中,数据(特别是URL中的数据)能以可预见和安全的方式发送和接收。

当你在Web浏览器的地址栏中输入URL或在Web表单中提交数据时,如果URL或表单数据包含非ASCII字符或特殊字符,HTTP客户端(如Web浏览器或其他HTTP工具)会进行URL编码,使得这些数据可以安全地通过HTTP请求传输到服务器。

实战:

URL编码的规则包括:

  • 安全字符:对于字母(A-Z, a-z)、数字(0-9)、破折号(-)、下划线(_)、句点(.)和波浪线(~),它们在URL中可以安全使用,不需要编码。(当然你可以私下用在线工具进行url编码,在URL编码中,每个百分号 "%" 后跟上两位十六进制数表示相应的字符,只是你在网页上输入网址经过url时不会自动帮你编码,也就是输入啥经过url后就是啥)
  • 不安全字符:空格、引号、< > % { } | \ ^ ~ [ ] 和删除键及控制字符经过了url后就会变成%xx的形式(为了保证安全传输,这些字符都会被url编码)
  • 但是如果遇到了安全字符的url编码形式,比如admin对于url编码后是%61%64%6d%69%6e,如果你在url输入这个后它就会自动帮你URL解码,直接变成admin
  • 举个例子比如:

”%61  %64%6d%69%6e“经过URL后会变成a%20%20dmin,(%20是空格表示形式)

现在学了基础知识,那就开始刷题,这道题还不是简简单单!

这里最终条件要求URL解码一次后会直接变成admin就可以输出flag,而且一开始还要绕过强等于,已经提示的很明显了,一开始就是要传入一个URL形式的字符串来绕过强相等,如果一开始不传URL编码,那后面那个URL解码岂不就是没有用了,只是要注意一下你一开始传一个URL编码形式的admin上去就会匹配安全字符,被解码一次,所以还得再编码一次。

payload:对admin进行两次URL编码即可

?id=%2561%2564%256d%2569%256e

CTF中Crypty入门必看(密码类,密码学)
墨痕诉清风的博客
11-03 8338
ASCII码大致可以分为三部分组成:第一部分是:ASCII非打印控制字符第二部分是:ASCII打印字符;第三部分是:扩展ASCII打印字符。这是ASCII码表具体分析链接。
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
热门推荐
杨秀璋的专栏
09-09 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具;本篇文章将介绍社会工程学中的IP物理位置定位、IP获取、手机和邮箱查找、文件属性等。希望对初学者有帮助,大神请飘过,谢谢各位看官! 文章目录一.社会工程学二.IP物理定位三.IP地址获取四...
CTF-HTTP
weixin_43070493的博客
03-19 930
CTF入门-HTTP请求方式 打开题目后,网页显示 HTTP Method is GET Use CTF**B Method, I will give you flag. Hint: If you got 「HTTP Method Not Allowed」 Error, you should request index.php. 题解 windows 下:(使用python) from urllib import request req = request.Request(method = "CTFHUB"
CTF HTTP协议
Light_shoot的博客
10-22 1156
超文本传输协议(Hypertext Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。简单来说就是客户端和服务端进行数据传输的一种规则。这里我们只需要了解报文格式,状态信息,请求头即可。
CTF 中的 Http 协议
最新发布
yqya_的博客
04-26 183
ctf 中对于 http 协议的考察
CTFWeb http-method通关教程
qq_45196785的博客
09-26 139
4、burp抓包,修改http请求方法为SEESEA。2、http-method,查看题目-启动动态环境。1、点击练习中心-题目列表-Web
CTF_Web_HTTP协议
weixin_30433075的博客
11-18 789
HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信...
CTF中那些脑洞大开的编码和加密
weixin_34344677的博客
07-18 3455
0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF中脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,...
2024年最全2024国赛信息安全管理与评估样题及规程解读(2),2024年最新从基础到源码统统帮你搞定
2401_84301315的博客
05-05 856
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
常见编码和加密算法
liinux-Talk is cheap,show me the code.
05-17 1万+
0x00 前言 正文开始之前先闲扯几句吧,玩CTF的小伙伴也许会遇到类似这样的问题:表哥,你知道这是什么加密吗?其实CTF中脑洞密码题(非现代加密方式)一般都是各种古典密码的变形,一般出题者会对密文进行一些处理,但是会给留一些线索,所以写此文的目的是想给小伙伴做题时给一些参考,当然常在CTF里出现的编码也可以了解一下。本来是想尽快写出参考的文章,无奈期间被各种事情耽搁导致文章断断续续写了2个月,文章肯定有许多没有提及到,欢迎小伙伴补充,总之,希望对小伙伴们有帮助吧! 0x01 目录 常见编码:
CTFHubWebHTTP协议
qq_45927819的博客
08-04 842
文章目录curl使用方法请求方式方法一方法二302跳转方法一方法二Cookie方法一方法二基础认证响应包源代码 curl使用方法 参考https://blog.youkuaiyun.com/weixin_45694388/article/details/109594729? 请求方式 根据提示我们应该是需要修改请求方法为CTFHub,并且需要请求index.php 方法一 方法二 使用curl命令查看服务器的返回信息 curl -v -X CTFHUB challenge-9661cba9e188a4c8.sand
CTFHub Web http 请求方式
qq_54929891的博客
08-22 3142
通过在优快云写博客,来记录学习的足迹,如果有不对的地方还希望各位大佬指正指正(*^__^*) 打开题目“显示HTTP的方法是GET方法,用CTF**B方法,我将会给你flag” 利用Burp Suite进行抓包 将方法改为CTFHUB(最开始我直接打的CTF**B,没想到*是让我自己猜) 然后再请求一次可以出flag ...
CTF入门--http请求头
Quartz's Blog
09-07 5179
这个也是很常见的操作,可能只能称为计算机使用技巧吧 通过修改referer字段,伪装自己从何而来初探题目 这里是要下载一个小文件,然而却被过滤了 显示如上图的内容开始分析http协议,是当前最多使用的互联网协议吧, 其中这就是请求头中用到的 两个: Referer: 作用: 提供了Request的上下文信息的服务器,告诉服务器我是从哪个链接过来的,比如从我主页上链接到一个朋友那里,
CTF-web基础 HTTP协议
2302_80276789的博客
08-04 1977
‌。
CTF-HTTP协议
Tr3Ad1n
04-29 846
对于CTFHTTP协议题目的基本解法的笔记
CTFHub-Web-HTTP协议
qq_54037445的博客
11-21 2103
CTFHub-Web-Web前置技能-HTTP协议 请求方式、302重定向、cookie、基础认证
ctf-web常用网页
qq_35033983的博客
12-04 634
urlencode&decode: http://web.chacuo.net/charseturlencode
CTF练习:HTTP服务之命令执行(案例二)
qq_43233085的博客
12-06 411
CTF练习:HTTP服务之命令执行(案例二)环境准备信息收集hash破解上传shell 靶机地址: 链接: https://pan.baidu.com/s/1xsNuHceCqtuK-yUzKuHJdA 提取码: 5l81 环境准备 开启两台机器,一台靶机一台kali攻击机,配置好桥接网络,使其在同一网段内。 查看攻击机kali的IP,为172.19.91.88 ifconfig 查看靶机的I...
ctf
03-08
### CTF竞赛概述 CTF(Capture The Flag)竞赛是在网络安全领域内广泛采用的一种比赛形式,旨在测试和提高参与者的技能水平[^1]。这类活动对于培养安全意识、发现潜在的安全人才具有重要意义。 #### 主要赛制类型 - **解题模式(Jeopardy)**:这是最常见CTF赛制之一,在此类比赛中,选手们需解答一系列与信息安全有关的技术难题来获得分数。这些挑战覆盖多个方面,比如逆向工程、二进制漏洞挖掘与利用、Web应用攻击、加密算法解析等[^2]。 - **攻防对抗模式(Attack & Defense)**:不同于纯粹的答题环节,此模式下各支队伍被分配到特定的服务环境里运行服务程序;一方面保护己方服务器免受其他团队侵扰的同时也要尝试入侵对方系统并夺取旗帜(flag)[^4]。 #### 参与途径 想要加入CTF赛事并不困难: - 访问官方平台或社区网站注册账号; - 关注各大高校社团组织发布的消息公告; - 加入线上交流群组与其他爱好者互动分享经验心得; - 利用公开资源如电子书籍《CTF 竞赛入门指南》学习基础知识; - 练习实际操作案例,例如针对登录界面实施安全性评估练习以熟悉常见攻击手法[^5]。 ```python import requests def check_login_bypass(url, payload): response = requests.post(url, data=payload) if 'flag' in response.text.lower(): print('Login bypass successful!') else: print('Failed to bypass login.') # Example usage (for educational purposes only) check_login_bypass('http://example.com/login', {'username': '', 'password': ''}) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值